GELİŞMİŞ SİBER SİLAHLAR VE TESPİT YÖNTEMLERİ. Bahtiyar BİRCAN Uzman Araştırmacı Siber Güvenlik Enstitüsü

Transkript

1 GELİŞMİŞ SİBER SİLAHLAR VE TESPİT YÖNTEMLERİ Bahtiyar BİRCAN Uzman Araştırmacı Siber Güvenlik Enstitüsü 6 Kasım 2012

2 Gündem Siber Savaşlar Gelişmiş Siber Silahlar (APT) Gelişmiş Siber Silahların Tespiti Gelişmiş Siber Silah Tespit Sistemi Önlemler Sonuç 2

3 Siber Savaşlar

4 Siber Savaşlar Günümüzde savaşlar siber uzayda yapılmaktadır. Birçok savaş ve anlaşmazlık fiziksel dünyaya paralel olarak sanal alemde de devam etmektedir. Siber savaş konsepti bir çok ülkenin askeri yapılanması bu yeni konsepte göre yeniden yapılandırılmıştır. Asimetrik tehdit. Ülkelerde siber savaş birimleri Hedef sadece askeri sistemler değil Saldırı kaynağını bulmak zor. Saldırı kaynağı olarak başka bir ülkeyi göstermek çok kolay 4

5 Siber Silah Maliyetleri Radara yakalanmayan bombardıman uçağı 730 milyon $ Radara yakalanmayan avcı uçağı 100 milyon $ Cruise füzesi 1 milyon $ Siber silah 10 $ - 50 bin $ 5

6 Siber Savaş Örnekleri 1982 Farewell Dosyası 1990 Körfez Savaşı 1998 Ay Işığı Labirenti 1999 NATO Kosova Krizi 2007 Suriye İsrail Gerginliği 2007 Estonya Siber Savaşı 2008 Gürcistan Siber Savaşı 2008 İsrailin Gazze İşgali 2009 Kırgızistan Olayları 2009 Mavi Marmara Saldırısı 6

7 7 Siber Savaşlar Siber Casusluk Olayları Titan Rain GhostNET Operation Aurora Wikileaks ShadyRAT Night Dragon Bilinen Siber Silahlar Stuxnet Duqu Flame / miniflame Gauss Tinba

8 Siber Savaşlar ve Siber Silahlar Siber savaşlarda genel amaçlı saldırı araçlarının yanında yoğunlukla siber silahlar da kullanılmaktadır. Şu ana kadar olan siber savaşlarda genelde DDoS yapılmış ve çok karmaşık silahlar kullanılmamıştır. Geliştirilen bir siber silah genelde tek kullanımlık. Tespit edildikten sonra etkisi yitirilmiş oluyor. Bundan dolayı bir çok ülke geliştirdikleri siber silahları zorunlu olmadıkça kullanmak istememektedirler 8

9 Gelişmiş Siber Silahlar / Advanced Persistent Threat (APT)

10 APT Nedir? Advanced persistent threat (APT) usually refers to a group, such as a foreign government, with both the capability and the intent to persistently and effectively target a specific entity. Devletler veya büyük gruplar tarafından desteklenen, siber savaşlarda istenen saldırıları yerine getirmek için geliştirilmiş, hedefi net olarak belirlenmiş zararlı yazılımlar. 10

11 APT Özellikleri Gelişmiş teknikler kullanır Hedeflere sızmak için gelişmiş teknikler kullanmaktadır. Siber savunma sistemlerini kolaylıkla atlatabiliyor. Özel geliştirilmiş veya internette bulunabilen saldırı araçları kullanımaktadır Kalıcıdır Bulaştığı sistemlerde yayılarak uzun süre fark edilmeden çalışabiliyor Hedef odaklı Belirli sistemleri ve kişileri hedef almaktadır Arkasında yetkin bir grup veya ülke bulunmaktadır 11

12 APT Yayılma Yöntemleri 12 Sosyal Mühendislik USB / CD / DVD Oltalama Saldırıları (Spear Phishing) Ofis dokümanları Microsoft Ofis Adobe PDF Web siteleri Sıfırıncı gün saldırıları Microsoft Windows Internet Explorer Java Flash Açık kaynaklı saldırı araçları

13 APT Özellikleri 13 Kaynak: Mandiant

14 APT Özellikleri 14 Kaynak: Mandiant

15 APT Saldırı Aşamaları Bilgi toplama Sisteme sızma Yayılma Sisteme kalıcı olarak yerleşme Hedeflerin yerine getirilmesi Kalıcılığın devam ettirilmesi 15

16 APT Hedefleri 16 Kaynak: TrendMicro

17 APT Hedefleri 17 Kaynak: TrendMicro

18 Gelişmiş Siber Silahların Tespiti

19 APT Tespiti Yeni yaklaşımlar gerektirmektedir. Bilinen siber savunma yöntemleri/ürünleri işe yaramamaktadır. Sızma testleri = APT tespit simülasyonu Bir çok alanı ilgilendirmektedir. Olay müdahale (Incident Response) Ağ güvenliği (IDS/IPS, Ağ izleme, DPI, FW, NAC..) Log Yönetimi, SIEM Adli bilişim (Forensic) Malware analizi DLP 19

20 APT Tespiti Öncesi Önkabuller APT Davranışı nedir? Bulaşma yöntemleri C&C Haberleşmesi Hedefler (Bilgi çalma, sistemleri çökertme..) Ne tespit edilecek? Sistemlere sızma Sistemlerden dışarı bilgi çıkarma 20

21 APT Tespiti Dünyadaki Yaklaşımlar Ticari ürünler Mandiant FireEye Damballa Bit9 PaloAlto Wildfire Yaklaşımlar C&C Haberleşmesi DNS trafik incelemesi SIEM / Log korelasyonu Malware Analizi 21

22 Merkezi Tehdit Veritabanı Tespit edilen saldırıların ve APT lerin verilerinin tutulduğu tehdit veritabanı İçerdiği veriler IP Reputation File Reputation Malware davranışı Zaman bilgisi Ticari Tehdit Veritabanları Her kurum / ülke için özel veritabanı Hedefli saldırılarda başarı oranı düşük olabilir 22

23 Gelişmiş Siber Silah Tespit Sistemi

24 APT Tespit Sistemi

25 APT Tespit Sistemi - Planla Kapsam Süre Amaç Prosedürler Lojistik

26 APT Tespit Sistemi - İzle Ağın izlenmesi IDS/IPS NMS VPN Güvenlik Duvarı Uç noktaların izlenmesi Host logları Registry değişiklikleri Memory İşletim sistemi servisleri Önemli dosyalar Merkezi Kayıt Yönetimi Merkezi Güvenik İzleme (SIEM)

27 APT Tespit Sistemi Tespit Et Ağ üzerinden HTTP başlık bilgisi SSL sertifikaları E-posta içeriği ve eklentileri DNS trafiği NetFlow Ağ trafiği istatistikleri Bağlantı süresi Paket boyutu Giden / Gelen verinin oranı İç ağ trafiği Olası C&C sunucu haberleşmesi Host üzerinden Local ve Domain kullanıcı değişiklikleri Kullanıcı logon Servis değişiklikleri Process injection Zamanlanmış görevler Önemli dosyaların hash değerleri Veri madenciliği ve anomali tespiti

28 APT Tespit Sistemi - Yakala Ağ üzerinden E-posta trafiği içindeki zararlı dosyalar Web trafiği içindeki dosyaları Drive-by download Şifreli trafik Host üzerinden Disk imajı Memory imajı

29 APT Tespit Sistemi Analiz Et Adli analiz Disk imajı Memory imajı Malware analizi yöntemleri ile yakalanan yazılımların analizi Statik analiz Dinamik analiz Sandboxing Analizler sonucu yazılımların otomatik olarak profilinin çıkartılması Host üzerindeki davranışı Ağ üzerindeki davranışı

30 APT Tespit Sistemi Sonuçları Yayınla Analiz sonucu elde edilen bilgilerin ve APT profilinin merkezi tehdit veritabanına konulması Veritabanı bilgilerinin kullanan diğer sensörlere yayılması

31 APT Tespit Sistemi Önlem Al Ağ seviyesinde saldırıların önlenmesi Güvenlik Duvarı kurallarının güncellenmesi IPS imzalarının güncellenmesi Proxy / İçerik filtreleme politikalarının güncellenmesi Host seviyesinde HIPS kurallarının güncellenmesi DLP Kritik sistemlerin internet ile bağlantılarının kesilmesi

32 Önlemler

33 Önlemler Gelişmiş siber silahları tamamen önlemek mümkün değil Saldırılar için hazırlıklı olmak gerekiyor Sistemlerin sıkılaştırılması Güçlü şifre politikaları Personel eğitimi Kritik sistemlerin internetten izole edilmesi

34 Sonuç Siber savaşlar şu an devam etmektedir. Siber savaşlarda APT aktif olarak kullanılmaktadır APT tespit ve önlemesi zor olsa da mümkün Saldırıları önleme adına özellikle kritik sistemler ve kamu kurumlarında çalışmaların bir an önce başlaması gerekmektedir

35 Teşekkürler Bahtiyar BİRCAN Siber Güvenlik Enstitüsü